வெறும் 1 மணி நேரம்.. ஒட்டுமொத்த சிபிஎஸ்இ சிஸ்டமும் ஹேக்.. அம்பலப்படுத்திய 19 வயது இளைஞர்
டெல்லி: சிபிஎஸ்இ +2 டிஜிட்டல் விடைத்தாள் குளறுபடி விவகாரம் ஏற்கனவே மாணவர்களை உலுக்கி வரும் நிலையில், தற்போது அதன் ஆன்லைன் பாதுகாப்பு கட்டமைப்பில் இருந்த அதிரவைக்கும் ஓட்டைகளை மேற்கு வங்கத்தைச் சேர்ந்த 19 வயது இளம் எத்திகல் ஹேக்கர் நிசர்கா அதிகாரி அம்பலப்படுத்தியுள்ளார். அவரால் ஒட்டுமொத்த சிபிஎஸ்சி சிஸ்டத்தையும் ஒரே மணி நேரத்தில் ஹேக் செய்ய முடிந்ததாகத் தெரிவித்துள்ளார்.
சிபிஎஸ்சி தொடர்பாகக் கடந்த சில நாட்களாகவே தொடர்ந்து சர்ச்சை கிளம்பி வருகிறது. வேறு ஒருவருடைய விடைத்தாளை வைத்து இன்னொருவருக்கு மார்க் போட்ட விவகாரம் பெரிதாக வெடித்திருந்தது. ஆனால் சர்ச்சை அத்தோடு நிற்கவில்லை. சிபிஎஸ்சி இணையதளத்தில் மிக மோசமான பாதிப்பு குறைபாடுகள் இருப்பதாகவும் அதைத் தன்னால் வெறும் ஒரே மணி நேரத்தில் ஹேக் செய்ய முடிந்ததாகவும் மேற்கு வங்கத்தைச் சேர்ந்த 19 வயது இளம் எத்திகல் ஹேக்கர் நிசர்கா அதிகாரி தெரிவித்துள்ளார்.
ஹேக்கிங்
அதாவது சிபிஎஸ்இ கொண்டு வந்துள்ள புதிய 'ஆன்-ஸ்கிரீன் மார்க்கிங்' போர்ட்டல் எப்படி செயல்படுகிறது என்பதைப் பார்க்க அவர் அந்த இணையதளத்திற்குப் போய் இருக்கிறார். அப்போது சும்மா செக் செய்தபோதே அவரால் இணையத்தின் சோர்ஸ் கோர்ட்டை எடுக்க முடிந்துள்ளது. இந்த கொட்டிக்கிடந்த அலட்சியமான தவறுகளைக் கண்டு அதிர்ந்துபோனார். சற்று நேரம் வெப்சைட்டை செக் செய்து பார்க்கும்போதே, அவரால் மிக முக்கியமான 4 சிக்கல்களைக் கண்டுபிடித்துள்ளார்.
பிரச்சனைகள்
- பொதுவாக ஓடிபி எண்கள் சர்வர் மூலம் சரிபார்க்கப்படும். ஆனால், சிபிஎஸ்இ போர்ட்டலிலோ பயனரின் பிரவுசரிலேயே ) ஓடிபி சரிபார்க்கப்பட்டுள்ளது. பிரவுசரின் DevToolsஐ திறந்து லாக் இன் செய்யும் எவரும் அந்த ஓடிபியை எளிதாகப் படித்துப் பாதுகாப்பை பை-பாஸ் செய்ய முடிகிறது.
- விடைத்தாள் திருத்தும் எந்தவொரு ஆசிரியரின் மொபைலுக்கும் ஓடிபி போகாமலேயே, ஒட்டுமொத்த சிஸ்டத்திற்குள்ளும் நுழையக் கூடிய ஒரு ரகசிய 'மாஸ்டர் பாஸ்வேர்டு' அதன் இணையக் குறியீட்டிற்குள்ளேயே மறைத்து வைக்கப்பட்டிருந்தது. அதையும் நிசர்கா எளிதாகக் கண்டுபிடித்தார்.
- எந்தவொரு ஆசிரியரின் யூசர் ஐடியையும் பதிவிட்டு, பழைய பாஸ்வேர்டு இல்லாமலேயே வெறும் 'ஜிப்பரிஷ்' எழுத்துக்களைத் தட்டி புதிய பாஸ்வேர்டை ரீசெட் செய்ய முடிந்துள்ளது.
- பிரவுசரின் ஸ்டோரேஜ் மதிப்புகளை மாற்றுவதன் மூலம், இணையத்தை ஹேக் செய்ய முடிந்துள்ளது. இதன் மூலம் மாணவர்களின் மதிப்பெண்களை மாற்றும் ஆபத்து இருந்துள்ளது. "இதற்குப் பெரிய புரோகிராமிங் எல்லாம் தேவையில்லை; வெறும் Control + F மற்றும் லாஜிக் தெரிந்தாலே போதும். எனது வாழ்நாளின் மிக எளிமையான ஹேக் இதுதான்!" என நிசர்கா அதிகாரி சாடியுள்ளார்.
கண்டுகொள்ளவில்லை
இந்த விபரீத ஓட்டைகளைக் கண்டறிந்தவுடன், நிசர்கா அதனைப் பொதுவெளியில் வெளியிடாமல் இந்தியாவின் அதியுயர் சைபர் பாதுகாப்பு அமைப்பான செர்ட்-இன் (CERT-In) மற்றும் சிபிஎஸ்இ அதிகாரிகளுக்குப் பலமுறை மின்னஞ்சல் அனுப்பியுள்ளார். ஆனால், அவர்களிடமிருந்து எவ்வித பதிலும் வரவில்லை.
அவர் மேலும் கூறுகையில், "பல லட்ச ரூபாயை கட்டணமாக வாங்கிக் கொண்டு பிரச்சினைகளைப் பார்த்துச் சொல்லும் நிறுவனங்களுக்கு மத்தியில் நான் இலவசமாகப் பிரச்சினைகளைச் சுட்டிக்காட்டினேன். ஆனால், அவர்கள் மதிக்கவில்லை. இது அவர்களின் அகந்தை மற்றும் அலட்சியத்தைக் காட்டுகிறது" என்று கோபமடைந்த நிசர்கா, ஆதாரங்களுடன் தனது பிளாக்கில் வீடியோக்களை வெளியிட, அது இணையத்தில் காட்டுத்தீயாகப் பரவி, சிபிஎஸ்இ தளங்கள் நள்ளிரவில் முடக்கப்பட்டன.
விளக்கம்
விவகாரம் விஸ்வரூபம் எடுத்ததை அடுத்து, சிபிஎஸ்இ தலைமையகம் இது தொடர்பாக ஒரு நீண்ட விளக்கப் பதிவை வெளியிட்டது. அதில் அவர்கள், "அவர் குறிப்பிடப்பட்டுள்ள URL உண்மையான விடைத்தாள் திருத்தும் தளம் அல்ல. அது வெறும் பரிசோதனை மற்றும் மதிப்பாய்விற்காக உருவாக்கப்பட்ட ஒரு போலி சைட் மட்டுமே. அதில் உண்மையான மாணவர்களின் மதிப்பெண்களோ, விடைத்தாள்களோ கிடையாது. நிஜமான போர்ட்டலின் URL முற்றிலும் வேறானது. அது பாதுகாப்பாகவே உள்ளது!" என்றனர்.
ஆனால், இதற்குப் பதிலடி கொடுத்துள்ள நிசர்கா அதிகாரி, "சிபிஎஸ்இ தங்களின் ட்வீட்டில் குறிப்பிட்டுள்ள அந்த URL ஒரு உண்மையான டொமைனே அல்ல.. அது யூசர்களை எனது பிளாக்கிற்குத்தான் ரீடைரக்ட் செய்கிறது" என மீண்டும் குளறுபடியைப் போட்டு உடைத்தார்.
தர்மேந்திர பிரதான்
மாணவர்களின் விடைத்தாள்கள் மாறிய புகார்களுக்கு மத்தியில், தற்போது இந்த ஹேக்கிங் விவகாரமும் சேர்ந்து கொண்டதால், மத்திய கல்வி அமைச்சர் தர்மேந்திர பிரதான் இதனால் கோபமடைந்துள்ளார். கடந்த மே 24ம் தேதியே இது தொடர்பாகக் கடுமையான உத்தரவுகளைப் பிறப்பித்துள்ளார். மாணவர்களின் நலனே முக்கியம் எனக் குறிப்பிட்ட அவர், சிபிஎஸ்இ-யின் போஸ்ட்-ரிசல்ட் போர்ட்டல்களை ஐஐடி நிபுணர்கள் மற்றும் பொதுத்துறை வங்கிகளின் தொழில்நுட்ப வல்லுநர்களைக் கொண்டு அசுர வேகத்தில் புனரமைக்க உத்தரவிட்டுள்ளார்.
-
சரண்டரான சி.வி.சண்முகம் டீம்.. மீண்டும் இணைகிறது அதிமுக.. எடப்பாடி போட்ட கண்டிஷன்! -
கூண்டோடு காலியாகிறது.. விசிக டாப் தலைகள் மொத்தமாக திமுகவில் ஐக்கியம்? சில்லு சில்லாக சிதறுது! -
கிண்டலுக்குள்ளாகும் தவெக அமைச்சர்கள் பிரஸ் மீட்.. நடிகர் சரத்குமார் தந்த அறிவுரை -
நடிகை ரம்பா வீட்டில் ஏற்பட்ட துயரம்.. "உலகமே வெறுமையாகி விட்டது” என உருக்கமான பதிவு -
கோவை சூலூர் சிறுமியை கொன்றது ஏன்? குற்றவாளி கார்த்தி பரபரப்பு வாக்குமூலம் -
சஞ்சு சாம்சன் மூலமாக சிஎஸ்கே அணிக்குள் நுழைய முயற்சிக்கும் அஸ்வின்.. பின்னணியில் நடப்பது என்ன? -
கூட்டுறவு வங்கிகளில் விவசாயிகள் பெற்ற பயிர்க்கடன் 100 சதவீதம் தள்ளுபடி! யாருக்கெல்லாம் கிடைக்கும்? -
சென்னையில் செய்கூலி, சேதாரம் கட்.. திடீரென தங்கத்திற்கு வழங்கப்படும் பிரம்மாண்ட தள்ளுபடி.. ஏன்? -
Kerala Lottery: கடனை கட்ட முடியாததால் வீடு ஜப்தியாக இருந்தது.. 12 கோடி லாட்டரியில் வென்ற முதியவரின் சோக பின்னணி -
எடப்பாடி பழனிசாமின்னா சும்மாவா.. வீட்டுக்குள் போன 3 அரசியல்வாதிகள்.. ஒரே நொடியில் ஆடிப்போன வேலுமணி -
மகளிருக்கு ரூ.2,500, விடியல் பயணம் திட்டம் எப்போது அமலாகும்? அமைச்சர் செங்கோட்டையன் கொடுத்த பதில் -
திருச்சி திருவானைக்காவல் கோவில் பிரசாதம் தயாரிப்பு தேதி குறித்த மீம்ஸ்.. அமைச்சர் ரமேஷ் விளக்கம்
Click it and Unblock the Notifications
Sign in with Google